Abonneer je gratis op Techzine!

Dinsdag is er via de nieuwssite NU.nl malware verspreid waardoor mogelijk honderdduizend computers geïnfecteerd zijn geraakt. De trojan, die uit is op het stelen van bankgegevens, zou door geen enkele anti-virusprogramma verwijderd worden wanneer deze geïnstalleerd is.

Beveiligingsbedrijf Fox-IT heeft deze schatting kunnen maken doordat het sensoren heeft staan bij bedrijven die dreigingen waarnemen. Onbevestigde bronnen maken melding van één bedrijf waar 500 infecties hebben plaatsgevonden, zo meldt Security.nl

De trojan zou op de nieuwssite geïnstalleerd kunnen worden doordat hackers inloggegevens van het contentmanagementsysteem wisten te bemachtigen. Zo werd er een javascript-bestand op de server van de site geplaatst. Computers met een verouderde installatie van Adobe Reader en Java konden via dit script worden geïnfecteerd. NU.nl maakte melding van de aanval welke tussen 11:30 en 12:30 plaats zou hebben gevonden, dit blijkt echter tussen 11:30 en 13:40 te zijn geweest. NU.nl heeft het script uiteindelijk zelf ontdekt en verwijderd.

Volgens Erik Loman van het beveiligingsbedrijf Surfright, ontwikkelaar van HitmanPro, zou nog geen enkel anti-virusprogramma in staat zijn de malware te herkennen zodra deze op de computer aanwezig is. Op dit moment wordt een bètaversie van HitmanPro getest die de Sinowal-trojan wel kan verwijderen, deze wordt beschikbaar gesteld zodra deze klaar is. Loman geeft aan waardoor de trojan lastig te bestrijden is. De Master Boot Record (MBR) van de harde schijf om Windows te laden wordt namelijk geïnfecteerd. Sinowal plaatst een aantal ‘hooks’ om de harde schijf heen waardoor het ingewikkeld wordt om deze zomaar te verwijderen. Formatteren van de harde schijf is daardoor niet voldoende, aangezien de malware dan vanuit de MBR de schone Windows-installatie opnieuw kan besmetten.

"Wie kennis van zaken heeft kan vanaf een boot cd opstarten en dan het commando ‘fix mbr’ draaien. Dan is het ook opgelost, aangezien vanaf de CD-rom wordt opgestart en niet vanaf de geïnfecteerde MBR", geeft Loman aan. "Veel mensen kunnen dat echter niet."

Security Analist Sijmen Ruwhof heeft op zijn weblog een script geplaatst waarmee te controleren is of Adobe Reader en Java van de laatste software-updates zijn voorzien en ze vatbaar zijn voor de trojan. Ook de Rijksoverheid maakt melding van de trojan-aanval via de informatiesite Waarschuwingsdienst.nl, maar biedt niet meer dan een aantal algemene tips en geen concrete oplossingen.